セキュリティ対策 無料ツールは有効か?

 2017.09.04 Secure Enterpriseポータル

無料ツールによるセキュリティ対策は、果たして有効か?今回のテーマについて、結論から言えば「個人レベルのセキュリティなら問題ない」です。つまり、企業(エンタープライズ)レベルでのセキュリティでは、十分な対策が取れないということです。

今回は、この理由について詳しく解説していきます。

OSSのセキュリティツールは有効か?

OSS(オープン・ソース・ソフトウェア)とは、無償ライセンスにより、インストール、回収および再配布を自由に行えるソフトウェアです。セキュリティ業界においても、多数のOSSが提供されており、多くの企業で無償導入されています。

OSSのセキュリティツールを導入する最大のメリットは、やはり「低コスト」です。ソフトウェアをインストールしたり、稼働するためにインフラ調達は必要なものの、ソフトウェアを無償でインストールできることは、かなりのコスト削減に繋がります。そのため、コスト面を考慮し、OSSのセキュリティツールを導入する企業が多いのです。

しかし、OSSがセキュリティ面で本当に有効か?といえば、多くの不安が残ります。まず、OSSは商用ソフトウェアではないため、基本的にサポートがありません。

つまり、ソフトウェアに障害が発生したり、実際にセキュリティ事件が発生した際は、ソフトウェアベンダーのサポートが得られないということです。これは、情報セキュリティ人材が豊潤な、大手企業なら問題になりません。ただし、情報セキュリティ人材が少ない場合は大問題です。

ソフトウェア障害もセキュリティ事件にも、社内ですべて対応しなければならないため、対処までの時間が多くなったり、対応コストが増加します。このため、OSSのセキュリティツールは、多くの企業にとって有効なサイバー攻撃対策にはなり得ません。

もう一つの不安は、OSSの「脆弱性」です。脆弱性とは、システム設計上に発生する弱点(セキュリティホール)であり、サイバー攻撃者はこのセキュリティホールを狙い、攻撃を実行します。

実は、OSSには度々重大な脆弱性が発見されています。オープンソースのブログソフトウェアとして高いシェアを持つWordPressは、2017年2月に、重大な脆弱性が発見されたとことでメディアを騒がせました。

参考:IPA(情報処理推進機構)「情報セキュリティWordPress の脆弱性対策について

この脆弱性により、150万以上のWebサイトが改ざん被害に遭っています。このように、OSSには脆弱性が多く発見されており、それはセキュリティツールに至っても例外ではありません。そのため、豊富な情報セキュリティ人材と、高いスキルを所持していない限り、OSSのセキュリティツールは危険性の高いものだといえます。

それでもOSSのコストメリットを魅力に感じる場合は?

OSSのセキュリティソフトをいくら危険と言っても、それは分かり切ったこととして、導入する企業も少なくありません。しかし、危険があることには変わりないので、やはり商用ソフトウェアとして提供されているセキュリティツールの導入をおすすめします。

「多少危険でも、コストメリットを取りたい」という企業は、クラウド型のセキュリティツールに着目してみてください。クラウドとはご存知、インターネット上で提供されるサービスを指し、クラウド型のセキュリティツールは、自社インフラにインストールするのではなく、あくまでインターネット上のサービスとして利用するセキュリティ製品です。

簡単に言えば、GmailやDropBoxといったオンラインサービスを利用するような感覚で、セキュリティツールを導入することができます。

クラウド型セキュリティツールを導入すると何が良いかというと、一般のセキュリティツールと比較して、低コストで導入できるという点にあります。

通常、セキュリティツールを導入する際は、ソフトウェアを自社インフラにインストールし、細かいパラメータ設定を行った上で、本格稼働に入ります。ソフトウェア自体にコストがかかることはもちろん、インフラ調達や、導入自体にも多大なコストがかかります。

このため、セキュリティツール導入は一大プロジェクトになり、想像以上の導入コストがかかってしまいます。

一方、クラウド型セキュリティツールでは、インフラを調達するという概念がありません。インターネット上で提供されるものなので、必要なのは、インターネット接続環境と利用端末、それと月額の契約料金です。このため、クラウド型セキュリティツールは導入コストと導入期間を大幅に削減し、低コストでの導入を実現します。

実はOSSよりもコストメリットがある?

「導入コストが安くても、毎月のコストがかかるでしょ」という意見もあるでしょう。確かに、クラウド型セキュリティツールでは月額、あるいは年額の契約料金がかかるので、相対的に毎月のコストが発生します。しかし、OSSではまったくコストが発生しないのか?というと、実はそうではありません。

OSSのセキュリティツールとはいっても、導入の際は通常のセキュリティツール同様の工数が発生します。つまり、インフラ調達も細かいパラメータ設定も必要であり、場合によってはOSSの方が多くの工数が発生するかもしれません。

これらは全て、OSSのセキュリティツールを導入する上での「コスト」です。OSSのセキュリティツールも、導入までも「無償」とはいかないのです。

さらに、OSSのセキュリティツールでもランニングコストは発生します。ただ、クラウド型セキュリティツールと違い「視覚化が難しい」というだけです。セキュリティツールの導入後は、当然ながらシステム運用業務が必要です。

セキュリティツールが正常に稼働しているか、リソースは不足していないか、サイバー攻撃に遭っていないかの監視など、通常のセキュリティツール同様にシステム運用業務が発生します。これらの業務を行うのはすべて「社内の人」なので、そこにかかる人件費は立派なランニングコストです。

ちなみにサーバの設置スペースや、消費弾力などもランニングコストとして計上されます。

このように、OSSのセキュリティツールだからといって、コストがまったくかからない、というわけではないのです。

その点、クラウド型セキュリティツールは月々のコストが明確であり、契約内容以上のコストはかからないというメリットがあります。月々の契約料金が5万なら、セキュリティツールにかかるランニングコストは5万円です。

このため、OSSのセキュリティツールよりもコスト削減になるケースが多く、さらにはシステム運用業務が非常に少ないため、余ったリソースでIT戦略に注力することもできます。

まとめ

個人で利用するPCならば、OSSあるいは無償のセキュリティツールでも問題にはならないでしょう。もちろん、複数のセキュリティツールによって、多様な脅威から保護することは必要です。企業レベルで言えば、ここで紹介したいくつかの理由から、やはりセキュリティ面では不十分と言わざるを得ません。

コスト面などを考慮しても、商用ソフトウェア(特にクラウド型セキュリティツール)に分があるので、セキュリティツール選定の際はぜひ「クラウドファースト」を取り入れてみましょう。